Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4193896B2 - Communication abnormality detection device - Google Patents
[go: Go Back, main page]

JP4193896B2 - Communication abnormality detection device - Google Patents

Communication abnormality detection device Download PDF

Info

Publication number
JP4193896B2
JP4193896B2 JP2006310205A JP2006310205A JP4193896B2 JP 4193896 B2 JP4193896 B2 JP 4193896B2 JP 2006310205 A JP2006310205 A JP 2006310205A JP 2006310205 A JP2006310205 A JP 2006310205A JP 4193896 B2 JP4193896 B2 JP 4193896B2
Authority
JP
Japan
Prior art keywords
unit
abnormality detection
information
sampling
sampling method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006310205A
Other languages
Japanese (ja)
Other versions
JP2008131075A (en
Inventor
信之 中村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2006310205A priority Critical patent/JP4193896B2/en
Priority to US11/984,013 priority patent/US8219889B2/en
Publication of JP2008131075A publication Critical patent/JP2008131075A/en
Application granted granted Critical
Publication of JP4193896B2 publication Critical patent/JP4193896B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • H04L43/0847Transmission error
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/022Capturing of monitoring data by sampling

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Description

本発明は、通信網上から到来するパケット信号に含まれる情報を解析し、当該通信網における異常発生を検知する通信異常検知装置に関する。   The present invention relates to a communication abnormality detection apparatus that analyzes information included in a packet signal that arrives from a communication network and detects an abnormality in the communication network.

インターネット等の通信網の拡大や通信量の増加に伴い、通信網に接続されるコンピュータへのいわゆるワームなどの悪意を持ったプログラムの感染や、ワームに感染した複数のコンピュータが特定のサーバに対して攻撃するDDos(Distributed Denial of Service)攻撃などが問題となっている。これらの問題への対策として近年、通信網の異常を検知するための装置を通信網上の特定の場所に設置し、パケット信号に含まれる情報を長期に亘って取得する方法が用いられるようになった。この方法では,長期に亘って取得した情報を解析し当該解析により得られた結果から平常時の通信状態を把握し、平常時の通信状態に基づいて通信網における異常発生を検知するなどの手段が用いられる。   Along with the expansion of communication networks such as the Internet and the increase in communication volume, infection of malicious programs such as so-called worms to computers connected to communication networks, and multiple computers infected by worms against specific servers DDos (Distributed Denial of Service) attack that attacks is a problem. In recent years, as a countermeasure against these problems, a method of installing a device for detecting an abnormality in a communication network at a specific location on the communication network and acquiring information contained in a packet signal over a long period of time has been used. became. In this method, means such as analyzing information acquired over a long period of time, grasping the normal communication state from the result obtained by the analysis, and detecting the occurrence of an abnormality in the communication network based on the normal communication state. Is used.

例えば、通信網上に通信される情報を監視するための監視装置を通信網上の広範囲に設置し、これらの監視装置が探知した情報を統合的に解析することにより通信網上の異常を検知する技術が非特許文献1に開示されている。
「広域セキュリティ監視における統合解析アーキテクチャ」 竹森、山田、三宅 The 2006 Symposium on Cryptography and Information Security Hiroshima, Japan, Jan, 17-20, 2006 The Institute of Electronics, Information and Communication Engineers
For example, a monitoring device for monitoring information communicated on the communication network is installed over a wide area on the communication network, and anomalies on the communication network are detected by comprehensively analyzing the information detected by these monitoring devices. Non-Patent Document 1 discloses a technique to do this.
"Integrated Analysis Architecture for Wide Area Security Monitoring" Takemori, Yamada, Miyake The 2006 Symposium on Cryptography and Information Security Hiroshima, Japan, Jan, 17-20, 2006 The Institute of Electronics, Information and Communication Engineers

しかしながら非特許文献1に開示される技術においては当該文献の4.1.1項に示されるように、通信網上における異常を検知するために監視装置が直前に得た統計データと一週間前に得た統計データとに基づいて異常発生の検知解析を行っている。そのため、監視装置を通信網上に設置してから少なくとも一週間程度、通信情報を蓄積する必要があり、その間は通信網における異常発生を検知できないという問題があった。   However, in the technique disclosed in Non-Patent Document 1, as shown in Section 4.1.1 of the document, the statistical data obtained immediately before the monitoring device to detect an abnormality on the communication network and the week before Based on the statistical data obtained, the detection of abnormal occurrence is performed. Therefore, it is necessary to accumulate communication information for at least about one week after the monitoring device is installed on the communication network, and there is a problem that an abnormality occurrence in the communication network cannot be detected during that time.

また、一般に通信網の接続構成などが変更された場合、変更前までの監視により得られた平常時の通信状態と変更後の通信状態とが異なるため、実際には正常であるにもかかわらず異常が発生したという解析結果を示し続けるという問題点があった。   In general, when the connection configuration of the communication network is changed, the normal communication state obtained by monitoring before the change is different from the communication state after the change, so it is actually normal. There was a problem of continuing to show the analysis result that an abnormality occurred.

本発明は上記した如き問題点に鑑みてなされたものであって、通信網上に設置後、短期間で通信網の異常発生を検知可能な装置を提供することを目的とする。   The present invention has been made in view of the above-described problems, and an object of the present invention is to provide an apparatus capable of detecting occurrence of an abnormality in a communication network in a short period of time after installation on the communication network.

また、本発明は、通信網の接続構成などが変更された場合においても、早期に正しい検知結果を示すことが可能な装置を提供することを目的とする。   Another object of the present invention is to provide an apparatus capable of showing a correct detection result at an early stage even when the connection configuration of a communication network is changed.

本発明による通信異常検知装置は、通信網から到来するパケット信号を順次、受信するパケット受信部と、供給されるサンプリング手法に基づいて、前記パケット受信部が受信したパケット信号を順次、選別し、当該選別したパケット信号に含まれる付随情報を抽出するサンプリング部と、前記サンプリング部が抽出した付随情報を蓄積する情報蓄積部と、データ解析手法に基づいて前記情報蓄積部に蓄積されている付随情報を解析し、前記通信網における異常発生の検知処理をなす異常検知処理部とを含む通信異常検知装置であって、前記情報蓄積部に蓄積されている付随情報の蓄積量が所定量に達した場合、サンプリング手法を前記サンプリング部に、当該サンプリング手法に対応したデータ解析手法を前記異常検知処理部にそれぞれ供給するトリガー部を含むことを特徴とする。   The communication abnormality detection device according to the present invention sequentially selects packet signals received by the packet reception unit based on a sampling method supplied and a packet reception unit that sequentially receives packet signals coming from a communication network, A sampling unit for extracting accompanying information contained in the selected packet signal, an information storage unit for storing accompanying information extracted by the sampling unit, and accompanying information stored in the information storage unit based on a data analysis technique And an abnormality detection processing unit that performs an abnormality detection process in the communication network, and the amount of incidental information accumulated in the information accumulation unit has reached a predetermined amount In this case, a sampling method is provided to the sampling unit, and a data analysis method corresponding to the sampling method is provided to the abnormality detection processing unit. Characterized in that it comprises a trigger unit for.

また、本発明による通信異常検知装置は、通信網から到来するパケット信号を順次、受信するパケット受信部と、供給されるサンプリング手法及び情報抽出間隔に基づいて、前記パケット受信部が受信したパケット信号を順次、選別し、当該選別したパケット信号に含まれる付随情報を抽出するサンプリング部と、前記サンプリング部が抽出した付随情報を蓄積する情報蓄積部と、データ解析手法に基づいて前記情報蓄積部に蓄積されている付随情報を解析し、前記通信網における異常発生の検知処理をなす異常検知処理部とを含む通信異常検知装置であって、サンプリング手法を前記サンプリング部に、当該サンプリング手法に対応したデータ解析手法を前記異常検知処理部にそれぞれ供給するトリガー部と、前記情報蓄積部に蓄積されている付随情報の蓄積量が所定量に達する毎に、情報抽出間隔を前記サンプリング部に供給する解析制御部を含むことを特徴とする。   Further, the communication abnormality detection device according to the present invention includes a packet receiver that sequentially receives packet signals coming from a communication network, and a packet signal received by the packet receiver based on a supplied sampling method and information extraction interval. Are sequentially selected, the sampling unit that extracts the accompanying information included in the selected packet signal, the information storage unit that stores the accompanying information extracted by the sampling unit, and the information storage unit based on the data analysis method A communication abnormality detection apparatus including an abnormality detection processing unit that analyzes accumulated information and performs an abnormality detection process in the communication network, wherein the sampling method corresponds to the sampling method. Trigger units that supply data analysis techniques to the abnormality detection processing unit, and That each accumulated amount of accompanying information reaches a predetermined amount, the information extraction interval, characterized in that it comprises an analysis controller for supplying to said sampling unit.

以下、本発明に係る実施例について添付の図面を参照しつつ詳細に説明する。   Hereinafter, embodiments according to the present invention will be described in detail with reference to the accompanying drawings.

図1は、本発明による通信異常検知装置10を表すブロック図である。   FIG. 1 is a block diagram showing a communication abnormality detection device 10 according to the present invention.

通信異常検知装置10は、パケット受信部1と、サンプリング部2と、情報蓄積部3と、異常検知処理部4と、入力部5と、トリガー部6とを含む。   The communication abnormality detection device 10 includes a packet reception unit 1, a sampling unit 2, an information storage unit 3, an abnormality detection processing unit 4, an input unit 5, and a trigger unit 6.

パケット受信部1は、通信網(図示せず)からパケット信号を順次、受信し、当該受信したパケット信号をサンプリング部2に順次、供給する。   The packet receiving unit 1 sequentially receives packet signals from a communication network (not shown), and sequentially supplies the received packet signals to the sampling unit 2.

サンプリング部2は、パケット受信部1から供給されるパケット信号を、トリガー部6から供給されたサンプリング条件に基づいて順次、選別し、当該選別したパケット信号に含まれる付随情報を抽出する。続いて、サンプリング部2は、抽出された付随情報を情報蓄積部3に供給する。同時に、サンプリング部2は、付随情報を情報蓄積部3に供給した旨をトリガー部6に通知する。   The sampling unit 2 sequentially sorts the packet signals supplied from the packet receiving unit 1 based on the sampling conditions supplied from the trigger unit 6, and extracts accompanying information included in the selected packet signals. Subsequently, the sampling unit 2 supplies the extracted accompanying information to the information storage unit 3. At the same time, the sampling unit 2 notifies the trigger unit 6 that the accompanying information has been supplied to the information storage unit 3.

情報蓄積部3は、サンプリング部2から供給される付随情報を順次、蓄積する。情報蓄積部3は、少なくとも異常発生の検知処理に利用される分の付随情報を一定期間、蓄積している。なお、異常発生の検知処理に利用されない付随情報は破棄されても良い。また、情報蓄積部3は、異常検知処理部4からの要求に応じて付随情報を異常検知処理部4に供給する。   The information storage unit 3 sequentially stores accompanying information supplied from the sampling unit 2. The information accumulating unit 3 accumulates incidental information used for at least an abnormality occurrence detection process for a certain period. Note that incidental information that is not used in the abnormality detection process may be discarded. The information storage unit 3 supplies accompanying information to the abnormality detection processing unit 4 in response to a request from the abnormality detection processing unit 4.

異常検知処理部4は、トリガー部6から発せられる検知処理の開始指令に応じて、情報蓄積部3に付随情報の供給を要求する。続いて、異常検知処理部4は、トリガー部6から供給されたデータ解析手法に基づいて情報蓄積部3から供給される付随情報を解析し、通信網(図示せず)における異常発生の検知処理を行う。   The abnormality detection processing unit 4 requests the information storage unit 3 to supply accompanying information in response to a detection processing start command issued from the trigger unit 6. Subsequently, the abnormality detection processing unit 4 analyzes the accompanying information supplied from the information storage unit 3 based on the data analysis method supplied from the trigger unit 6, and detects the occurrence of abnormality in the communication network (not shown). I do.

入力部5は、通信異常検知装置10の管理者や通信状態の監視者などが入力する検知処理の解除入力及び付随情報を変換する際の変換範囲入力を受け入れる。   The input unit 5 accepts a detection process cancel input and a conversion range input when converting incidental information input by an administrator of the communication abnormality detection device 10 or a communication state monitor.

トリガー部6は、付随情報を情報蓄積部3に供給した旨をサンプリング部2から通知される毎に検知処理の開始指令を異常検知処理部4に発する。通常、トリガー部6は、初期設定時に初期サンプリング手法をサンプリング部2に、当該初期サンプリング手法に対応したデータ解析手法を異常検知処理部4にそれぞれ供給する。初期設定は例えば通信異常検知装置10が通信網上に設置されたときなどに行われる。また、トリガー部6は、情報蓄積部3に蓄積されている付随情報の蓄積量が所定量に達した場合に、初期サンプリング手法と異なる標準サンプリング手法をサンプリング部2に、当該標準サンプリング手法に対応したデータ解析手法を異常検知処理部4にそれぞれ供給する。ここでの所定量は少なくとも標準サンプリング手法による解析が可能となる量以上の量である。また、所定量はトリガー部6に予め記憶されている。通常、サンプリング手法の供給と同時に関連する変数なども併せてサンプリング部2に供給する。本実施例においては、初期サンプリング手法をパケットカウントベースサンプリング(packetcount-based sampling)手法、標準サンプリング手法を時間ベースサンプリング(time-based sampling)手法とする。これら両手法は、IETF(Internet Engineering Task Force)のpsamp(Packet Sampling)ワーキンググループにおいて定義される標準的なサンプリング手法であれば良い。   The trigger unit 6 issues a detection processing start command to the abnormality detection processing unit 4 every time the sampling unit 2 notifies that the accompanying information is supplied to the information storage unit 3. Usually, the trigger unit 6 supplies an initial sampling method to the sampling unit 2 and a data analysis method corresponding to the initial sampling method to the abnormality detection processing unit 4 at the time of initial setting. The initial setting is performed, for example, when the communication abnormality detection device 10 is installed on the communication network. In addition, when the amount of incidental information stored in the information storage unit 3 reaches a predetermined amount, the trigger unit 6 corresponds to the standard sampling method to the sampling unit 2 using a standard sampling method different from the initial sampling method. The data analysis method performed is supplied to the abnormality detection processing unit 4. The predetermined amount here is an amount that is at least greater than an amount that can be analyzed by the standard sampling method. The predetermined amount is stored in advance in the trigger unit 6. In general, simultaneously with the supply of the sampling method, related variables and the like are also supplied to the sampling unit 2. In the present embodiment, the initial sampling method is a packet count-based sampling method, and the standard sampling method is a time-based sampling method. Both of these methods may be standard sampling methods defined by the IETF (Internet Engineering Task Force) psamp (Packet Sampling) working group.

図2は時間ベースサンプリング手法における付随情報の抽出期間の例を表す図である。X軸は経過時間、Y軸は抽出される付随情報量をそれぞれ表す。同図中のD1〜D8の各々はサンプリング部2が付随情報を抽出する期間を表す。ここでは仮にD1〜D8の各々において抽出される付随情報量は同量であるとする。同図中のS1〜S7の各々は抽出期間D1〜D2、D2〜D3、・・・、D7〜D8の各々の時間間隔を表す。抽出期間D1〜D8及び時間間隔S1〜S7は予めトリガー部6に記憶されており、トリガー部6はこれらを含むサンプリング条件をサンプリング部2に供給する。サンプリング部2は、D1〜D8の各々の抽出期間内に少なくとも1以上のパケット信号が含まれていれば、サンプリング条件に基づいて、パケット信号を順次、選別し、当該選別したパケット信号に含まれる付随情報を抽出する。ここでは、抽出期間D8において抽出された付随情報の解析を行うまでに、抽出期間D1〜D7の各々において抽出された付随情報が必要であるとする。   FIG. 2 is a diagram illustrating an example of an extraction period of accompanying information in the time-based sampling method. The X axis represents elapsed time, and the Y axis represents the amount of accompanying information extracted. Each of D1 to D8 in the figure represents a period during which the sampling unit 2 extracts the accompanying information. Here, it is assumed that the amount of accompanying information extracted in each of D1 to D8 is the same amount. Each of S1 to S7 in the figure represents a time interval of each of the extraction periods D1 to D2, D2 to D3, ..., D7 to D8. The extraction periods D1 to D8 and the time intervals S1 to S7 are stored in the trigger unit 6 in advance, and the trigger unit 6 supplies sampling conditions including these to the sampling unit 2. If at least one or more packet signals are included in each of the extraction periods D1 to D8, the sampling unit 2 sequentially selects the packet signals based on the sampling conditions, and is included in the selected packet signals. Accompanying information is extracted. Here, it is assumed that the accompanying information extracted in each of the extraction periods D1 to D7 is necessary before the accompanying information extracted in the extraction period D8 is analyzed.

図3はパケットカウントベースサンプリング手法における付随情報の抽出期間の例を表す図である。X軸は経過時間、Y軸は抽出される付随情報量をそれぞれ表す。同図中のD1〜D8の各々は少なくとも1以上のパケット信号からなる一連のパケット信号列であり、サンプリング部2が付随情報を抽出する期間を表す。ここでは仮にD1〜D8の各々において抽出される付随情報量は同量であるとする。同図中のS1はパケット信号列D1が通信異常検知装置10に到来してから、パケット信号列D2が通信異常検知装置10に到来するまでの時間間隔を表す。同様にS1〜S7の各々はパケット信号列D2が到来してからパケット信号列D3が到来するまで、パケット信号列D3が到来してからパケット信号列D4が到来するまで、・・・、パケット信号列D7が到来してからパケット信号列D8が到来するまでの時間間隔を表す。サンプリング部2は、パケット信号列D1〜D8の各々に含まれるパケット信号を、サンプリング条件に基づいて順次、選別し、当該選別したパケット信号に含まれる付随情報を抽出する。ここでは、抽出期間D8において抽出された付随情報の解析を行うまでに、パケット信号列D1〜D7の各々において抽出された付随情報が必要であるとする。   FIG. 3 is a diagram illustrating an example of an extraction period of accompanying information in the packet count-based sampling method. The X axis represents elapsed time, and the Y axis represents the amount of accompanying information extracted. Each of D1 to D8 in the figure is a series of packet signal sequences composed of at least one or more packet signals, and represents a period during which the sampling unit 2 extracts the accompanying information. Here, it is assumed that the amount of accompanying information extracted in each of D1 to D8 is the same amount. S1 in the figure represents a time interval from when the packet signal sequence D1 arrives at the communication abnormality detection device 10 to when the packet signal sequence D2 arrives at the communication abnormality detection device 10. Similarly, each of S1 to S7 is a packet signal from the arrival of the packet signal sequence D2 to the arrival of the packet signal sequence D3, from the arrival of the packet signal sequence D3 to the arrival of the packet signal sequence D4,. This represents the time interval from the arrival of the sequence D7 to the arrival of the packet signal sequence D8. The sampling unit 2 sequentially sorts the packet signals included in each of the packet signal sequences D1 to D8 based on the sampling condition, and extracts accompanying information included in the selected packet signals. Here, it is assumed that the accompanying information extracted in each of the packet signal sequences D1 to D7 is necessary until the accompanying information extracted in the extraction period D8 is analyzed.

サンプリング部2が抽出する付随情報は例えば、パケット信号に含まれる通信プロトコルの情報などである。通信プロトコルの情報としてはTCP(Transmission Control Protocol)やUDP(User Datagram Protocol)などがある。この場合、異常検知処理部4は、例えば、情報蓄積部3に既に蓄積されている複数の通信プロトコル情報の各々の種類がTCPであるかUDPであるかを判別し、通信プロトコル情報の総量に占めるTCPおよびUDPの各々の構成比率を求めるなどの解析を行い、当該解析結果を通信網の平常状態における構成比率とする。続いて、異常検知処理部4は、例えば、前記情報蓄積部に蓄積された最新の付随情報を解析して当該解析結果を通信網の最新状態とし、当該平常状態における構成比率と解析された最新の構成比率とを比較して通信網における異常の度合いを求めるなどして異常発生の検知処理を行う。   The accompanying information extracted by the sampling unit 2 is, for example, communication protocol information included in the packet signal. Communication protocol information includes TCP (Transmission Control Protocol) and UDP (User Datagram Protocol). In this case, for example, the abnormality detection processing unit 4 determines whether each type of the plurality of communication protocol information already stored in the information storage unit 3 is TCP or UDP, and determines the total amount of communication protocol information. Analysis is performed such as obtaining the composition ratio of each of TCP and UDP, and the analysis result is used as the composition ratio in the normal state of the communication network. Subsequently, for example, the abnormality detection processing unit 4 analyzes the latest incidental information stored in the information storage unit, sets the analysis result to the latest state of the communication network, and analyzes the latest composition ratio and the configuration ratio in the normal state. An abnormality occurrence detection process is performed by, for example, obtaining the degree of abnormality in the communication network by comparing the ratios of the two.

時間ベースサンプリング手法が予め定められた時間間隔で付随情報の抽出を行うのに対して、パケットカウントベースサンプリング手法は、パケット信号列が到来する毎に付随情報の抽出を行うため、パケットカウントベースサンプリング手法を用いる方が、異常発生の検知処理を開始するまでに付随情報を抽出する期間が短期で済むという利点がある。異常発生の検知処理開始までの付随情報の抽出期間は、図2及び3に表される例においては時間間隔S1〜S7の合計で示される。図3に表されるパケットカウントベースサンプリング手法の方が、図2に表される時間ベースサンプリング手法に比較して時間間隔S1〜S7の合計量が小さい、すなわち、異常発生の検知処理開始までの付随情報の抽出期間が短い。   While the time-based sampling method extracts the accompanying information at a predetermined time interval, the packet count-based sampling method extracts the accompanying information every time a packet signal sequence arrives. The use of the method has an advantage that the period for extracting the accompanying information is short before the detection process of occurrence of abnormality is started. The accompanying information extraction period until the start of the abnormality occurrence detection process is indicated by the sum of the time intervals S1 to S7 in the examples shown in FIGS. The total amount of the time intervals S1 to S7 is smaller in the packet count-based sampling method shown in FIG. 3 than in the time-based sampling method shown in FIG. The extraction period of accompanying information is short.

また、過去に抽出された付随情報に基づいて通信網の平常状態を定め、当該定められた平常状態と抽出された最新の付随情報を比較することにより現状の通信状態が正常であるか否かを解析する場合、付随情報を抽出する時間間隔を適度な間隔にすることにより解析精度を高められる。そのため、短期間に到来するパケット信号列から付随情報の抽出を行うパケットカウントベースサンプリング手法よりも、予め定められた適度な時間間隔で付随情報の抽出を行う時間ベースサンプリング手法の方が異常発生の検知精度が高いという利点を有する。本実施例においては、上記した両手法の利点に鑑みて、通信異常検知装置10の設置時点においては早期に異常発生の検知処理を行うためにパケットカウントベースサンプリング手法を用い、予め記憶されている所定量以上のデータが蓄積されたら異常発生の検知精度向上のために時間ベースサンプリング手法に変更する。   Whether or not the current communication state is normal by determining the normal state of the communication network based on the accompanying information extracted in the past and comparing the determined normal state with the latest extracted accompanying information. , The accuracy of analysis can be improved by setting an appropriate time interval for extracting the accompanying information. Therefore, the time-based sampling method that extracts the incidental information at a predetermined appropriate time interval is more abnormal than the packet count-based sampling method that extracts the incidental information from the packet signal sequence that arrives in a short time. This has the advantage of high detection accuracy. In the present embodiment, in view of the advantages of both methods described above, at the time of installation of the communication abnormality detection device 10, a packet count-based sampling method is used and stored in advance in order to perform an abnormality occurrence detection process at an early stage. When a predetermined amount or more of data is accumulated, the time base sampling method is changed in order to improve the detection accuracy of occurrence of abnormality.

図4は、トリガー部6におけるサンプリング手法の変更ルーチンの例を表すフローチャートである。本実施例においては、トリガー部6は初期設定時にパケットカウントベースサンプリング手法をサンプリング部2に、当該手法に対応したデータ解析手法を異常検知処理部4にそれぞれ供給してあるとする。また、本実施例における初期設定は通信異常検知装置10が通信網上に設置された時点に行われるものとする。トリガー部6は、前記情報蓄積部に蓄積されている付随情報の蓄積量が所定量に達したか否かを判断する(S1)。当該判断は、例えば、付随情報を情報蓄積部3に供給した旨をサンプリング部2から通知される毎に行われる。ここでの所定量は少なくとも時間ベースサンプリング手法による解析が可能となる量以上の量である。トリガー部6は、情報蓄積部3に蓄積されている付随情報の蓄積量が予め記憶されている所定量に達すれば、時間ベースサンプリング手法をサンプリング部2に供給する(S2)。これと同時に、トリガー部6は、時間ベースサンプリング手法に対応したデータ解析手法を異常検知処理部4に供給する。トリガー部6は、入力部5が検知処理の解除入力を受け入れたら(S3)、これに応じて検知処理を一旦解除し、サンプリング部2にパケットカウントベースサンプリング手法を供給する(S4)。これと同時に、トリガー部6は、パケットカウントベースサンプリング手法に対応したデータ解析手法を異常検知処理部4に供給する。続いて、トリガー部6は、前記情報蓄積部に蓄積されている付随情報の蓄積量が所定量に達したか否かを判断する処理(S1)に戻る。なお、検知処理の解除入力は、サンプリング部2がパケットカウントベースサンプリング手法を用いて付随情報を抽出しているときに入力されても良い。この場合においてもトリガー部6は、検知処理を一旦解除し、サンプリング部2にパケットカウントベースサンプリング手法を供給する。   FIG. 4 is a flowchart showing an example of a sampling method changing routine in the trigger unit 6. In the present embodiment, it is assumed that the trigger unit 6 supplies a packet count-based sampling method to the sampling unit 2 and a data analysis method corresponding to the method to the abnormality detection processing unit 4 at the time of initialization. In addition, the initial setting in the present embodiment is performed when the communication abnormality detection device 10 is installed on the communication network. The trigger unit 6 determines whether or not the amount of accompanying information stored in the information storage unit has reached a predetermined amount (S1). The determination is made, for example, every time the sampling unit 2 notifies that the accompanying information is supplied to the information storage unit 3. The predetermined amount here is an amount that is at least greater than an amount that can be analyzed by the time-based sampling method. The trigger unit 6 supplies a time-based sampling method to the sampling unit 2 when the accumulation amount of the accompanying information accumulated in the information accumulation unit 3 reaches a predetermined amount stored in advance (S2). At the same time, the trigger unit 6 supplies a data analysis method corresponding to the time-based sampling method to the abnormality detection processing unit 4. When the input unit 5 accepts the detection process cancel input (S3), the trigger unit 6 temporarily cancels the detection process and supplies a packet count-based sampling method to the sampling unit 2 (S4). At the same time, the trigger unit 6 supplies a data analysis method corresponding to the packet count-based sampling method to the abnormality detection processing unit 4. Subsequently, the trigger unit 6 returns to the process (S1) for determining whether or not the amount of accompanying information stored in the information storage unit has reached a predetermined amount. The detection process cancellation input may be input when the sampling unit 2 extracts the accompanying information using the packet count-based sampling method. Even in this case, the trigger unit 6 once cancels the detection process, and supplies the sampling unit 2 with a packet count-based sampling method.

上記した処理において、サンプリング部2は、トリガー部6から時間ベースサンプリング手法を供給された場合は時間ベースサンプリング手法に基づいて、また、トリガー部6からパケットカウントベースサンプリング手法を供給された場合はパケットカウントベースサンプリング手法に基づいて、パケット受信部1から供給されるパケット信号を順次、選別し、当該選別したパケット信号に含まれる付随情報を抽出する。   In the processing described above, the sampling unit 2 is based on the time-based sampling method when the time-based sampling method is supplied from the trigger unit 6, and the packet when the packet-counting sampling method is supplied from the trigger unit 6. Based on the count-based sampling method, the packet signals supplied from the packet receiving unit 1 are sequentially sorted, and accompanying information contained in the sorted packet signals is extracted.

異常検知処理部4は、トリガー部6から時間ベースサンプリング手法を供給されたときに、パケットカウントベースサンプリング手法にて抽出されて情報蓄積部3に蓄積されている付随情報の全部または一部を、時間ベースサンプリング手法にて解析可能な形式の付随情報に変換する機能を有する。異常検知処理部4は、当該変換した付随情報と時間ベースサンプリング手法にて抽出されて情報蓄積部3に蓄積される付随情報とを解析し、通信網における異常発生の検知処理を行うことにより、情報蓄積部3に蓄積されている付随情報を有効利用することもできる。更に、通信異常検知装置10の管理者や通信状態の監視者などが付随情報を変換する際の変換範囲が入力部5に入力された場合、異常検知処理部4は、入力された変換範囲に基づいてパケットカウントベースサンプリング手法により抽出されて情報蓄積部3に蓄積されている付随情報の全部または一部を時間ベースサンプリング手法にて解析可能な形式の付随情報に変換できる。また、仮にパケットカウントベースサンプリング手法にて抽出されて情報蓄積部3に蓄積されている付随情報を時間ベースサンプリング手法にて解析可能な形式の付随情報に変換できない場合は、サンプリング部2が、パケットカウントベースサンプリング手法にて解析可能な形式で付随情報を抽出するのに平行して、通信異常検知装置10の設置時点から、時間ベースサンプリング手法にて解析可能な形式で付随情報を併せて抽出する。この場合、時間ベースサンプリング手法に切り替えた時点より、時間ベースサンプリング手法にて解析可能な形式で抽出した付随情報を利用することで、サンプリング手法を切り替えた時点から即座に異常発生の検知処理を行うことができる。   When the time-based sampling method is supplied from the trigger unit 6, the abnormality detection processing unit 4 extracts all or part of the accompanying information extracted by the packet count-based sampling method and stored in the information storage unit 3. It has a function to convert to accompanying information in a format that can be analyzed by a time-based sampling method. The abnormality detection processing unit 4 analyzes the converted incidental information and the incidental information extracted by the time-based sampling method and accumulated in the information accumulation unit 3, and performs an abnormality occurrence detection process in the communication network. The accompanying information stored in the information storage unit 3 can also be used effectively. Further, when the conversion range when the administrator of the communication abnormality detection device 10 or the communication status monitor converts the accompanying information is input to the input unit 5, the abnormality detection processing unit 4 includes the input conversion range. Based on this, all or part of the accompanying information extracted by the packet count-based sampling method and stored in the information storage unit 3 can be converted into accompanying information in a format that can be analyzed by the time-based sampling method. If the accompanying information extracted by the packet count-based sampling method and stored in the information storage unit 3 cannot be converted into accompanying information in a format that can be analyzed by the time-based sampling method, the sampling unit 2 In parallel with extracting the incidental information in a format that can be analyzed by the count-based sampling method, the incidental information is also extracted in a format that can be analyzed by the time-based sampling method from the installation time of the communication abnormality detection device 10. . In this case, from the time of switching to the time-based sampling method, by using the accompanying information extracted in a format that can be analyzed by the time-based sampling method, an abnormality occurrence detection process is performed immediately from the time of switching the sampling method. be able to.

図5は、異常検知処理部4による付随情報の解析結果の例を表す図である。矢印の上側の図は、仮に通信異常検知装置10の設置時点から継続して時間ベースサンプリング手法を用いた場合の例である。矢印の下側の図は、通信異常検知装置10の設置時点においてはパケットカウントベースサンプリング手法を用い、予め記憶されている所定量以上の付随情報が蓄積されたら時間ベースサンプリング手法を用いる場合の例である。X軸が経過時間、Y軸が解析結果である異常の度合いをそれぞれ表す。また、通信異常検知装置10が通信網上に設置された時間を時間0とする。   FIG. 5 is a diagram illustrating an example of an analysis result of accompanying information by the abnormality detection processing unit 4. The figure above the arrow is an example in the case of using the time-based sampling method continuously from the installation time of the communication abnormality detection device 10. The figure below the arrow shows an example in which a packet count-based sampling method is used at the time of installation of the communication anomaly detection apparatus 10 and a time-based sampling method is used when accompanying information of a predetermined amount or more stored in advance is accumulated. It is. The X axis represents the elapsed time, and the Y axis represents the degree of abnormality, which is the analysis result. Further, the time when the communication abnormality detection apparatus 10 is installed on the communication network is set to time 0.

通信異常検知装置10の設置時点から継続して時間ベースサンプリング手法を用いた場合(同図中における矢印の上側の図)、異常発生の検知処理開始までの期間は同図中の期間A1となる。通信異常検知装置10の設置時点においてはパケットカウントベースサンプリング手法を用いた場合(同図中における矢印の下側の図)、異常発生の検知処理開始までの期間は同図中の期間A2となる。パケットカウントベースサンプリング手法は時間ベースサンプリング手法と比較して、通信異常検知装置10の設置から異常発生の検知処理開始までの付随情報の抽出期間が短期で済むため、同図中の期間A1に比較して短い期間A2で異常発生の検知処理を開始できる。また、予め記憶されている所定量以上のデータが蓄積されたら、パケットカウントベースサンプリング手法から時間ベースサンプリング手法に変更することにより解析精度の高い異常発生の検知処理を継続できる。   When the time-based sampling method is used continuously from the time of installation of the communication abnormality detection device 10 (the figure on the upper side of the arrow in the figure), the period until the abnormality detection process starts is the period A1 in the figure. . At the time of installation of the communication abnormality detection device 10, when the packet count-based sampling method is used (the figure below the arrow in the figure), the period until the abnormality detection process starts is the period A2 in the figure. . Compared with the period A1 in the figure, the packet count-based sampling method requires a shorter extraction period of the accompanying information from the installation of the communication abnormality detection device 10 to the start of the abnormality occurrence detection process compared to the time-based sampling method. Thus, the abnormality detection process can be started in a short period A2. Further, when a predetermined amount or more of data stored in advance is accumulated, the detection processing of abnormality occurrence with high analysis accuracy can be continued by changing from the packet count-based sampling method to the time-based sampling method.

図6は、検知処理の解除入力無しのとき及び解除入力有りのときの異常検知処理部4による付随情報の解析結果の例を表す図である。矢印の上側の図が検知処理の解除入力無しのとき、矢印の下側の図が検知処理の解除入力有りのときの例である。X軸が経過時間、Y軸が解析結果である異常の度合いをそれぞれ表す。また、通信網の接続構成などが変更された時間を同図中の時間Cとする。入力部5が検知処理の解除入力を受け入れた時点を同図中の時間Rとする。   FIG. 6 is a diagram illustrating an example of an analysis result of accompanying information by the abnormality detection processing unit 4 when there is no detection process cancel input and when there is a cancel input. The figure above the arrow is an example when there is no detection process cancel input, and the figure below the arrow is when the detection process cancel input is present. The X axis represents the elapsed time, and the Y axis represents the degree of abnormality, which is the analysis result. The time when the connection configuration of the communication network is changed is time C in the figure. The time when the input unit 5 accepts the detection process cancel input is defined as time R in FIG.

仮に通信網の接続構成などが変更された場合(同図中における矢印の上側の図)、構成変更前までの解析により得られた平常時の通信状態と構成変更後の通信状態とが異なるため、構成変更時点である時間C以降、実際には通信状態が正常であるにもかかわらず異常の度合いが大きい解析結果が示され続ける。通信異常検知装置10の管理者や通信状態の監視者などが通信網の接続構成などの変更を受けて、入力部5に検知処理の解除入力を行うと検知処理が一旦解除される。検知処理解除後、短期間で検知処理を再開するために、トリガー部6は、パケットカウントベースサンプリング手法をサンプリング部2に、パケットカウントベースサンプリング手法に対応したデータ解析手法を解析制御部7にそれぞれ供給する。この場合、図6中における矢印の下側の図に示されるように、時間R以降、パケットカウントベースサンプリング手法を用いた異常発生の検知処理が行われる。そのため、通信網の接続構成などが変更され、実際には通信状態が正常であるにもかかわらず異常の度合いが大きい解析結果を示され続けた場合においても、検知処理を一旦解除することにより、短期間で異常発生の検知処理を再開できる。   If the connection configuration of the communication network is changed (the figure above the arrow in the figure), the normal communication state obtained by the analysis before the configuration change and the communication state after the configuration change are different. After the time C when the configuration is changed, an analysis result having a large degree of abnormality continues to be displayed even though the communication state is actually normal. When an administrator of the communication abnormality detection device 10 or a communication state monitor receives a change in the connection configuration of the communication network and performs a detection process cancel input to the input unit 5, the detection process is temporarily canceled. In order to restart the detection process in a short period after the detection process is released, the trigger unit 6 applies the packet count base sampling method to the sampling unit 2 and the data analysis method corresponding to the packet count base sampling method to the analysis control unit 7. Supply. In this case, as shown in the lower diagram of the arrow in FIG. 6, after time R, an abnormality occurrence detection process using a packet count-based sampling method is performed. Therefore, even if the connection configuration of the communication network is changed and the analysis result with a large degree of abnormality is shown even though the communication state is actually normal, by canceling the detection process once, Anomaly detection processing can be resumed in a short period of time.

上記した如く、本発明によれば、通信異常検知装置を通信網上に設置後、短期間で通信網の異常発生を検知可能である。また、本発明によれば、通信網の接続構成などが変更された場合にも、一旦、検知処理を解除し、早期に正しい検知結果を示すことが可能である。   As described above, according to the present invention, it is possible to detect the occurrence of an abnormality in the communication network in a short period of time after the communication abnormality detection device is installed on the communication network. Further, according to the present invention, even when the connection configuration of the communication network is changed, it is possible to cancel the detection process once and show a correct detection result at an early stage.

図7は、解析制御部7を更に含む本発明による通信異常検知装置10を表すブロック図である。なお、解析制御部7以外のブロックは実施例1と同一であるため、ここでは説明を省略する。   FIG. 7 is a block diagram showing a communication abnormality detection device 10 according to the present invention further including an analysis control unit 7. Since the blocks other than the analysis control unit 7 are the same as those in the first embodiment, the description thereof is omitted here.

解析制御部7はサンプリング部2に接続されており、これにパケット信号の情報抽出間隔を供給する。先ず、情報抽出間隔は通信異常検知装置10の設置時等の初期設定段階においてサンプリング部2に供給される。通常、このときサンプリング部2に供給される情報抽出間隔は付随情報の解析を早期に開始するために比較的狭い間隔である。また、解析制御部7は、情報蓄積部3に蓄積されている付随情報の蓄積量が所定量に達する毎に、情報抽出間隔をサンプリング部2に供給する。通常、このときサンプリング部2に供給される情報抽出間隔は直前に供給された情報抽出間隔よりも広い間隔である。なお、解析制御部7は少なくとも1以上の所定量及び情報抽出間隔を予め記憶しておく。解析制御部7は情報蓄積部3にも接続されており、これに蓄積されている付随情報の蓄積量に基づいて情報抽出間隔をサンプリング部2に供給する。また、解析制御部7は比較的狭い情報抽出間隔にて抽出されて既に情報蓄積部3に蓄積されている付随情報を結合するなどして、情報抽出間隔の拡大後に利用できる形態に変換する。また、解析制御部7はトリガー部6に接続されており、これに情報抽出間隔及び付随情報の解析タイミングを通知する。   The analysis control unit 7 is connected to the sampling unit 2 and supplies an information extraction interval of the packet signal thereto. First, the information extraction interval is supplied to the sampling unit 2 at an initial setting stage such as when the communication abnormality detection device 10 is installed. Usually, the information extraction interval supplied to the sampling unit 2 at this time is a relatively narrow interval in order to start the analysis of the accompanying information at an early stage. Further, the analysis control unit 7 supplies the information extraction interval to the sampling unit 2 every time the amount of accompanying information accumulated in the information accumulation unit 3 reaches a predetermined amount. Normally, the information extraction interval supplied to the sampling unit 2 at this time is wider than the information extraction interval supplied immediately before. The analysis control unit 7 stores in advance at least one predetermined amount and information extraction interval. The analysis control unit 7 is also connected to the information storage unit 3, and supplies an information extraction interval to the sampling unit 2 based on the amount of accompanying information stored therein. Further, the analysis control unit 7 converts the information extracted into the form that can be used after the information extraction interval is expanded, for example, by combining the accompanying information extracted in a relatively narrow information extraction interval and already stored in the information storage unit 3. Moreover, the analysis control part 7 is connected to the trigger part 6, and notifies the information extraction interval and the analysis timing of the accompanying information to this.

図8は、解析制御部7における情報抽出間隔の変更ルーチンの例を表す図である。本実施例においてもトリガー部6は、通信異常検知装置10の設置時に、パケットカウントベースサンプリング手法をサンプリング部2に、当該手法に対応したデータ解析手法を異常検知処理部4にそれぞれ供給してあるとする。   FIG. 8 is a diagram illustrating an example of an information extraction interval changing routine in the analysis control unit 7. Also in this embodiment, the trigger unit 6 supplies the packet count-based sampling method to the sampling unit 2 and the data analysis method corresponding to the method to the abnormality detection processing unit 4 when the communication abnormality detection device 10 is installed. And

解析制御部7は、情報蓄積部3に蓄積されている付随情報の蓄積量が予め記憶されている所定量に達したか否かを判断する(T1)。この処理は例えば、サンプリング部2が付随情報を抽出する毎に、解析制御部7が情報蓄積部3に蓄積されている付随情報の蓄積量と予め記憶されている所定量とを所定量の小さいものから順に比較することによりなされる。解析制御部7は、付随情報の蓄積量が当該所定量に達すれば(T1)、直前にサンプリング部2に供給した情報抽出間隔よりも広い情報抽出間隔をサンプリング部2に供給する(T2)。供給される情報抽出間隔は解析精度が大幅に低下しない程度の間隔である。また、解析制御部7は、付随情報の情報抽出間隔を拡大する時に、当該拡大前の間隔にて抽出され既に情報蓄積部3に蓄積されている付随情報を当該情報抽出間隔の拡大後に利用できる形態に変換する(T3)。また、情報抽出間隔が広くなり過ぎると解析精度が低下するため、解析制御部7は、情報抽出間隔を適度な間隔まで拡大したら(T4)、情報抽出間隔の拡大を停止する。情報抽出間隔が上限まで拡大されていない場合は(T4)、付随情報の蓄積量が所定量に達したか否かを判断する処理(T1)に戻る。情報抽出間隔の上限値は予め解析制御部7に記憶されている。サンプリング部2は、上記した処理によって解析制御部7から情報抽出間隔を供給されることにより、抽出間隔を段階的に拡大しながら付随情報を抽出できる。   The analysis control unit 7 determines whether or not the amount of accompanying information stored in the information storage unit 3 has reached a predetermined amount stored in advance (T1). For example, each time the sampling unit 2 extracts the accompanying information, the processing is performed by the analysis control unit 7 reducing the accumulated amount of the accompanying information accumulated in the information accumulating unit 3 and the predetermined amount stored in advance by a predetermined amount. This is done by comparing the items in order. When the accumulated amount of the accompanying information reaches the predetermined amount (T1), the analysis control unit 7 supplies an information extraction interval wider than the information extraction interval supplied to the sampling unit 2 immediately before (T2). The supplied information extraction interval is such an interval that the analysis accuracy is not significantly reduced. Further, when expanding the information extraction interval of the accompanying information, the analysis control unit 7 can use the accompanying information extracted at the interval before the expansion and already stored in the information storage unit 3 after the information extraction interval is expanded. Convert to form (T3). In addition, if the information extraction interval becomes too wide, the analysis accuracy decreases. Therefore, when the information extraction interval is increased to an appropriate interval (T4), the analysis control unit 7 stops expanding the information extraction interval. When the information extraction interval is not expanded to the upper limit (T4), the process returns to the process (T1) for determining whether or not the amount of accompanying information has reached a predetermined amount. The upper limit value of the information extraction interval is stored in advance in the analysis control unit 7. The sampling unit 2 can extract the accompanying information while gradually expanding the extraction interval by being supplied with the information extraction interval from the analysis control unit 7 by the above-described processing.

図8に示した処理に引き続いて実施例1と同様にトリガー部6は、情報蓄積部3に蓄積されている付随情報の蓄積量が所定量に達した場合に、時間ベースサンプリング手法をサンプリング部2に、当該手法に対応したデータ解析手法を異常検知処理部4にそれぞれ供給する。当該所定量は通常、情報抽出間隔を拡大する際に用いられる所定量よりも大きい量に設定されている。このとき異常検知処理部4は実施例1と同様に、パケットカウントベースサンプリング手法にて抽出されて情報蓄積部3に蓄積されている付随情報の全部または一部を、時間ベースサンプリング手法にて解析可能な形式の付随情報に変換する。なお、情報抽出間隔の変更処理終了後から時間ベースサンプリング手法を用いた解析に必要な量の付随情報が蓄積されるまでの間、解析制御部7は抽出間隔の変更処理は行わず、トリガー部6に解析タイミングを通知するなどの処理を実行している。   Subsequent to the processing shown in FIG. 8, as in the first embodiment, the trigger unit 6 uses a time-based sampling method when the amount of incidental information stored in the information storage unit 3 reaches a predetermined amount. 2, a data analysis method corresponding to the method is supplied to the abnormality detection processing unit 4. The predetermined amount is normally set to an amount larger than the predetermined amount used when expanding the information extraction interval. At this time, as in the first embodiment, the abnormality detection processing unit 4 analyzes all or part of the accompanying information extracted by the packet count-based sampling method and stored in the information storage unit 3 by the time-based sampling method. Convert to accompanying information in a possible format. The analysis control unit 7 does not perform the extraction interval changing process until the amount of accompanying information necessary for analysis using the time-based sampling method is accumulated after the information extraction interval changing process is completed. 6 is informed of the analysis timing.

実施例1と同様に通信網の接続構成などが変更された場合に通信異常検知装置10の管理者や通信状態の監視者などが入力部5に検知処理の解除入力を行うと検知処理が一旦解除される。解除後、付随情報の抽出処理を再開した時点では、上記した処理と同様に、解析制御部7は、比較的狭い間隔の情報抽出間隔をサンプリング部2に供給し、付随情報の蓄積量の増加に応じて段階的に拡大した抽出間隔をサンプリング部2に供給する。   As in the first embodiment, when the connection configuration of the communication network is changed, when the administrator of the communication abnormality detection apparatus 10 or the communication state monitor inputs the detection process to the input unit 5, the detection process is temporarily performed. Canceled. After the cancellation, when the extraction process of the accompanying information is resumed, the analysis control unit 7 supplies the information extraction interval of a relatively narrow interval to the sampling unit 2 and increases the amount of the accompanying information accumulated, similarly to the above-described processing. The sampling interval expanded step by step is supplied to the sampling unit 2.

付随情報の抽出間隔が短い程、解析に必要な分の付随情報を短期間に蓄積することができ、早期に異常発生の検知処理を開始できる。しかし、蓄積期間が長期に亘る場合、付随情報の量が情報蓄積部3に蓄積可能な量を超過するおそれがある。上記した如く、付随情報抽出の初期段階においては狭い抽出間隔で付随情報を抽出することにより早期に検知処理の開始が可能であり、情報抽出間隔を広げても解析精度が落ちない程度の付随情報が蓄積されたら、付随情報の抽出間隔を拡大することにより、情報蓄積部3に蓄積される付随情報量を抑制しつつ解析精度を保ちながら検知処理を継続することが本発明において可能である。   As the incident information extraction interval is shorter, the incident information necessary for the analysis can be accumulated in a shorter time, and the abnormality detection process can be started earlier. However, when the accumulation period is long, the amount of accompanying information may exceed the amount that can be accumulated in the information accumulation unit 3. As described above, in the initial stage of extracting the accompanying information, it is possible to start the detection process at an early stage by extracting the accompanying information at a narrow extraction interval, and the accompanying information is such that the analysis accuracy does not decrease even if the information extraction interval is widened. In the present invention, it is possible in the present invention to continue the detection process while maintaining the analysis accuracy while suppressing the amount of the accompanying information stored in the information storage unit 3 by increasing the extraction interval of the accompanying information.

上記した如く、本実施例によれば、通信異常検知装置を通信網上に設置後、より短期間で通信網の異常発生を検知することが本発明において可能である。また、本実施例によれば、通信網の接続構成などが変更された場合にも、一旦、検知処理を解除し、より早期に正しい検知結果を示すことが本発明において可能である。   As described above, according to the present embodiment, it is possible in the present invention to detect the occurrence of an abnormality in the communication network in a shorter period of time after the communication abnormality detection device is installed on the communication network. Further, according to the present embodiment, even when the connection configuration of the communication network is changed, it is possible in the present invention to once cancel the detection process and show a correct detection result earlier.

本発明による通信異常検知装置を表すブロック図である。It is a block diagram showing the communication abnormality detection apparatus by this invention. パケットカウントベースサンプリング手法における付随情報の抽出期間の例を表す図である。It is a figure showing the example of the extraction period of the accompanying information in a packet count base sampling method. 時間ベースサンプリング手法における付随情報の抽出期間の例を表す図である。It is a figure showing the example of the extraction period of the accompanying information in a time base sampling method. サンプリング手法の変更ルーチンの例を表すフローチャートである。It is a flowchart showing the example of the change routine of a sampling method. 付随情報の解析結果の例を表す図である。It is a figure showing the example of the analysis result of accompanying information. 付随情報の解析結果の例を表す図である。It is a figure showing the example of the analysis result of accompanying information. 本発明による通信異常検知装置を表すブロック図である。It is a block diagram showing the communication abnormality detection apparatus by this invention. 情報抽出間隔の変更ルーチンの例を表すフローチャートである。It is a flowchart showing the example of the change routine of an information extraction interval.

符号の説明Explanation of symbols

1 パケット受信部
2 サンプリング部
3 情報蓄積部
4 異常検知処理部
5 入力部
6 トリガー部
7 解析制御部
10 通信異常検知装置
DESCRIPTION OF SYMBOLS 1 Packet reception part 2 Sampling part 3 Information storage part 4 Abnormality detection process part 5 Input part 6 Trigger part 7 Analysis control part 10 Communication abnormality detection apparatus

Claims (13)

通信網から到来するパケット信号を順次、受信するパケット受信部と、
供給されるサンプリング手法に基づいて、前記パケット受信部が受信したパケット信号を順次、選別し、当該選別したパケット信号に含まれる付随情報を抽出するサンプリング部と、
前記サンプリング部が抽出した付随情報を蓄積する情報蓄積部と、
データ解析手法に基づいて前記情報蓄積部に蓄積されている付随情報を解析し、前記通信網における異常発生の検知処理をなす異常検知処理部とを含む通信異常検知装置であって、
前記情報蓄積部に蓄積されている付随情報の蓄積量が所定量に達した場合、サンプリング手法を前記サンプリング部に、当該サンプリング手法に対応したデータ解析手法を前記異常検知処理部にそれぞれ供給するトリガー部を含むことを特徴とする通信異常検知装置。
A packet receiver for sequentially receiving packet signals coming from the communication network;
A sampling unit that sequentially sorts the packet signals received by the packet reception unit based on the supplied sampling method, and extracts accompanying information included in the selected packet signal;
An information storage unit for storing accompanying information extracted by the sampling unit;
Analyzing incidental information stored in the information storage unit based on a data analysis method, a communication abnormality detection device including an abnormality detection processing unit that performs detection processing of abnormality occurrence in the communication network,
Trigger for supplying a sampling method to the sampling unit and a data analysis method corresponding to the sampling method to the abnormality detection processing unit when the amount of incidental information stored in the information storage unit reaches a predetermined amount The communication abnormality detection apparatus characterized by including a part.
前記トリガー部は、初期設定時に初期サンプリング手法を前記サンプリング部に、当該初期サンプリング手法に対応したデータ解析手法を前記異常検知処理部にそれぞれ供給する初期サンプリング設定手段と、
前記情報蓄積部に蓄積されている付随情報の蓄積量が所定量に達した場合、標準サンプリング手法を前記サンプリング部に、当該標準サンプリング手法に対応したデータ解析手法を前記異常検知処理部にそれぞれ供給する標準サンプリング設定手段と含むを特徴とする請求項1に記載の通信異常検知装置。
The trigger unit is an initial sampling setting means for supplying an initial sampling method to the sampling unit at the time of initial setting, and a data analysis method corresponding to the initial sampling method to the abnormality detection processing unit, respectively.
When the amount of incidental information stored in the information storage unit reaches a predetermined amount, a standard sampling method is supplied to the sampling unit, and a data analysis method corresponding to the standard sampling method is supplied to the abnormality detection processing unit. The communication abnormality detection device according to claim 1, further comprising: a standard sampling setting unit that performs.
前記検知処理の解除入力を受け入れる入力部を更に含み、
前記トリガー部は、解除入力に応じて一旦検知処理を解除し、前記サンプリング手法を前記サンプリング部に、当該サンプリング手法に対応したデータ解析手法を前記異常検知処理部にそれぞれ供給する手段を含むことを特徴とする請求項1に記載の通信異常検知装置。
An input unit for receiving the detection process cancel input;
The trigger unit includes a unit that cancels the detection process in response to a cancel input, and supplies the sampling method to the sampling unit and a data analysis method corresponding to the sampling method to the abnormality detection processing unit. The communication abnormality detection device according to claim 1, wherein
前記異常検知処理部は、前記トリガー部から前記標準サンプリング手法に対応したデータ解析手法を供給された場合、前記初期サンプリング手法にて抽出されて前記情報蓄積部に蓄積されている付随情報の全部または一部を前記標準サンプリング手法に対応したデータ解析手法にて解析可能な形式の付随情報に変換する手段を含み、
当該変換した付随情報と前記標準サンプリング手法にて抽出されて前記情報蓄積部に蓄積される付随情報とを解析し、前記通信網における異常発生の検知処理をなすことを特徴とする請求項2に記載の通信異常検知装置。
When the abnormality detection processing unit is supplied with a data analysis method corresponding to the standard sampling method from the trigger unit, all of the accompanying information extracted by the initial sampling method and stored in the information storage unit or Means for converting a part of the information into accompanying information in a format that can be analyzed by a data analysis method corresponding to the standard sampling method,
3. The detection of occurrence of abnormality in the communication network is performed by analyzing the converted accompanying information and the accompanying information extracted by the standard sampling method and stored in the information storage unit. The communication abnormality detection device described.
前記情報蓄積部に蓄積されている付随情報の変換範囲を受け入れる入力部を更に含み、
前記異常検知処理部は、前記変換範囲に基づいて前記初期サンプリング手法にて抽出されて前記情報蓄積部に蓄積されている付随情報の全部または一部を前記標準サンプリング手法に対応したデータ解析手法にて解析可能な形式の付随情報に変換することを特徴とする請求項4に記載の通信異常検知装置。
An input unit that accepts a conversion range of accompanying information stored in the information storage unit;
The abnormality detection processing unit converts all or part of the accompanying information extracted by the initial sampling method based on the conversion range and stored in the information storage unit into a data analysis method corresponding to the standard sampling method. The communication abnormality detection device according to claim 4, wherein the communication abnormality detection device converts the incident information into a format that can be analyzed by the analysis.
前記初期サンプリング手法においては前記標準サンプリング手法に比較して前記検知処理をなすまでの付随情報の抽出期間が短いことを特徴とする請求項2に記載の通信異常検知装置。   3. The communication abnormality detection device according to claim 2, wherein the initial sampling method has a shorter extraction period of accompanying information until the detection process is performed than the standard sampling method. 前記初期サンプリング手法はパケットカウントベースサンプリング手法であり、前記標準サンプリング手法は時間ベースサンプリング手法であることを特徴とする請求項2に記載の通信異常検知装置。   The communication abnormality detection apparatus according to claim 2, wherein the initial sampling method is a packet count-based sampling method, and the standard sampling method is a time-based sampling method. 通信網から到来するパケット信号を順次、受信するパケット受信部と、
供給されるサンプリング手法及び情報抽出間隔に基づいて、前記パケット受信部が受信したパケット信号を順次、選別し、当該選別したパケット信号に含まれる付随情報を抽出するサンプリング部と、
前記サンプリング部が抽出した付随情報を蓄積する情報蓄積部と、
データ解析手法に基づいて前記情報蓄積部に蓄積されている付随情報を解析し、前記通信網における異常発生の検知処理をなす異常検知処理部とを含む通信異常検知装置であって、
サンプリング手法を前記サンプリング部に、当該サンプリング手法に対応したデータ解析手法を前記異常検知処理部にそれぞれ供給するトリガー部と、
前記情報蓄積部に蓄積されている付随情報の蓄積量が所定量に達する毎に、情報抽出間隔を前記サンプリング部に供給する解析制御部を含むことを特徴とする通信異常検知装置。
A packet receiver for sequentially receiving packet signals coming from the communication network;
A sampling unit that sequentially sorts the packet signals received by the packet receiving unit based on the supplied sampling method and information extraction interval, and extracts accompanying information included in the selected packet signal;
An information storage unit for storing accompanying information extracted by the sampling unit;
Analyzing incidental information stored in the information storage unit based on a data analysis method, a communication abnormality detection device including an abnormality detection processing unit that performs detection processing of abnormality occurrence in the communication network,
A trigger unit that supplies a sampling method to the sampling unit, and a data analysis method corresponding to the sampling method to the abnormality detection processing unit, and
A communication abnormality detection apparatus comprising: an analysis control unit that supplies an information extraction interval to the sampling unit every time the amount of incidental information stored in the information storage unit reaches a predetermined amount.
前記解析制御部が前記サンプリング部に供給する情報抽出間隔は、直前に前記サンプリング部に供給された情報抽出間隔よりも広いことを特徴とする請求項8に記載の通信異常検知装置。   The communication abnormality detection device according to claim 8, wherein an information extraction interval supplied to the sampling unit by the analysis control unit is wider than an information extraction interval supplied to the sampling unit immediately before. 前記解析制御部は、前記情報抽出間隔を前記サンプリング部に供給するとき、当該供給前の情報抽出間隔にて抽出され既に前記情報蓄積部に蓄積されている付随情報を当該供給後においても継続して前記異常検知処理部が解析できる形態に変換することを特徴とする請求項8に記載の通信異常検知装置。   When the analysis control unit supplies the information extraction interval to the sampling unit, the analysis control unit continues the accompanying information extracted at the information extraction interval before the supply and already stored in the information storage unit even after the supply. The communication abnormality detection device according to claim 8, wherein the abnormality detection processing unit is converted into a form that can be analyzed. 前記検知処理の解除入力を受け入れる入力部を更に含み、
前記解析制御部は、解除入力に応じて一旦検知処理を解除し、情報抽出間隔を前記サンプリング部に供給する手段を更に含むことを特徴とする請求項8に記載の通信異常検知装置。
An input unit for receiving the detection process cancel input;
The communication abnormality detection device according to claim 8, wherein the analysis control unit further includes a unit that cancels the detection process in response to a cancel input and supplies an information extraction interval to the sampling unit.
前記付随情報は、前記パケット信号に含まれる通信プロトコル情報であることを特徴とする請求項1または8に記載の通信異常検知装置。   9. The communication abnormality detection device according to claim 1, wherein the accompanying information is communication protocol information included in the packet signal. 前記異常検知処理部は、前記情報蓄積部に既に蓄積されている付随情報を解析して当該解析結果を通信網の平常状態とし、前記情報蓄積部に蓄積された最新の付随情報を解析して当該解析結果を通信網の最新状態とし、当該平常状態と最新状態との比較により通信網における異常の度合いを求めて異常発生の検知処理をなすことを特徴とする請求項1または8に記載の通信異常検知装置。   The abnormality detection processing unit analyzes the incidental information already accumulated in the information accumulation unit, sets the analysis result to a normal state of the communication network, and analyzes the latest incidental information accumulated in the information accumulation unit. 9. The abnormality detection process according to claim 1 or 8, wherein the analysis result is set to a latest state of the communication network, and a degree of abnormality in the communication network is obtained by comparing the normal state and the latest state. Communication abnormality detection device.
JP2006310205A 2006-11-16 2006-11-16 Communication abnormality detection device Active JP4193896B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006310205A JP4193896B2 (en) 2006-11-16 2006-11-16 Communication abnormality detection device
US11/984,013 US8219889B2 (en) 2006-11-16 2007-11-13 Communication error detection apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006310205A JP4193896B2 (en) 2006-11-16 2006-11-16 Communication abnormality detection device

Publications (2)

Publication Number Publication Date
JP2008131075A JP2008131075A (en) 2008-06-05
JP4193896B2 true JP4193896B2 (en) 2008-12-10

Family

ID=39418289

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006310205A Active JP4193896B2 (en) 2006-11-16 2006-11-16 Communication abnormality detection device

Country Status (2)

Country Link
US (1) US8219889B2 (en)
JP (1) JP4193896B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7226008B2 (en) * 2019-03-26 2023-02-21 オムロン株式会社 Management device, support device, management method, management program and recording medium

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6988236B2 (en) * 2000-04-07 2006-01-17 Broadcom Corporation Method for selecting frame encoding parameters in a frame-based communications network

Also Published As

Publication number Publication date
US8219889B2 (en) 2012-07-10
JP2008131075A (en) 2008-06-05
US20080120527A1 (en) 2008-05-22

Similar Documents

Publication Publication Date Title
US20080060074A1 (en) Intrusion detection system, intrusion detection method, and communication apparatus using the same
EP1964366B1 (en) Methods and devices for defending a 3g wireless network against malicious attacks
WO2008042579A2 (en) Targeted data collection architecture
CN101635658B (en) Method and system for detecting abnormality of network secret stealing behavior
KR20140088340A (en) APPARATUS AND METHOD FOR PROCESSING DDoS IN A OPENFLOW SWITCH
JP4626811B2 (en) Port hopping detection system, port hopping detection device, port hopping detection method, and program
JP2015173406A (en) Analysis system, analysis apparatus, and analysis program
KR100994746B1 (en) Hazardous Traffic Detection Method and System Using Pattern Matching Unit
JP6502902B2 (en) Attack detection device, attack detection system and attack detection method
US9069962B2 (en) Evaluation of a fast and robust worm detection algorithm
JP4193896B2 (en) Communication abnormality detection device
JP6711452B2 (en) Extraction device, extraction method, and program
JP5531064B2 (en) COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM
US10313374B2 (en) Electronic apparatus and method
JP7147635B2 (en) Unauthorized transmission data detector
JP4983287B2 (en) Rule verification apparatus and rule verification method
JP6792532B2 (en) Anomaly detection device and abnormality detection method
JP2020038525A (en) Anomaly detection device
CN117914507A (en) Security processing device, method and electronic device for handling attacks
JP5371096B2 (en) Monitoring system, monitoring method, and program
JP2009081736A (en) Packet transfer apparatus and packet transfer program
US20050081046A1 (en) Network correction security system and method
JP4898648B2 (en) High packet rate flow online detection method, system therefor, and program therefor
CN106657095B (en) Method and system for identifying unknown remote control trojan horse
JP4777366B2 (en) Worm countermeasure program, worm countermeasure device, worm countermeasure method

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080821

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080902

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080915

R150 Certificate of patent or registration of utility model

Ref document number: 4193896

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111003

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111003

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111003

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111003

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121003

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121003

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131003

Year of fee payment: 5